Microsoft Defender 案例管理是特性和功能的集合,提供統一、以安全性為中心的案例管理體驗。 此體驗專為在 Microsoft Defender 入口網站中原生管理統一安全性作業工作而設計,不需要第三方工具。 安全性作業小組會在管理案例工作時,維護安全性內容、更有效率地工作,並在不離開 Defender 入口網站的情況下更快速地回應攻擊。
案例管理推出的當前介紹階段集中了跨 SecOps 工作負載的豐富協作、定制、證據收集和報告。
什麼是案例管理?
案例管理可讓您在 Defender 入口網站中原生管理 SecOps 案例。 即使在初始階段,SecOps 團隊也在展示以下案例管理用例:
回應跨越多個事件的安全事件。
管理威脅搜尋。
追蹤 IoC 和威脅行為者。
需要調整的追蹤偵測邏輯。
下列特定功能和特性支援這些使用案例和案例:
- 使用新的 [案例] 頁面在一個位置建立和追蹤 SecOps 相關案例。
- 透過配置自訂狀態值來定義您自己的案例工作流程。
- 透過分配任務和截止日期來改善協作、品質和責任感。
- 透過將多個事件連結到一個案例來處理升級和複雜案例。
- 使用 RBAC 管理對案例的存取。
- 新增RTF註解,以提供活動記錄的連結、表格和格式。
- 上傳附件以儲存文件、CSV 和包含惡意軟體樣本的加密 zip 檔案等檔案。
- 透過多租用戶管理入口網站管理多個租用戶中的案例。
當我們建立在案例管理的基礎上時,我們在發展此解決方案時優先考慮這些額外的強大功能:
- 自動化
- 更多證據要補充
- 工作流程自訂
- 更多 Defender 入口網站整合
需求
案例管理可在 Defender 入口網站中使用,而且若要使用它,您必須連線 Microsoft Sentinel 工作區。 案例只能從 Defender 入口網站存取;您無法在 Azure 入口網站 中看到它們。
如需詳細資訊,請參閱 將 Microsoft Sentinel 連線到 Defender 入口網站。
使用 Defender 全面偵測回應統一 RBAC 或 Microsoft Sentinel 角色來授與案例管理功能的存取權。
| 案例功能 | Microsoft Defender 統一 RBAC | Microsoft Sentinel 角色 |
|---|---|---|
| 僅檢視 - 案例佇列 - 案例詳細資料 - 作業 - 註解 - 案例審核 |
安全作業 安全資料 > 基本概念 (閱讀) | Microsoft Sentinel 讀取器 |
| 建立和管理 - 案例和案例任務 - 指派 - 更新狀態 - 連結和取消連結事件 |
安全作業 > 警示 (管理) | Microsoft Sentinel 回應者 |
| 自訂案例狀態選項 | 授權和設定 > 核心安全性設定 (管理) | Microsoft Sentinel 參與者 |
如需詳細資訊,請參閱 Microsoft Defender 全面偵測回應 (RBAC) 的統一角色型存取控制 。
案例佇列
若要開始使用案例管理,請選取 Defender 入口網站中的 案例以 存取案例佇列。 過濾、排序或搜尋您的案例,以找到您需要關注的內容。
案例詳情
每個案例都有一個頁面,可讓分析師管理案例並顯示重要詳細資料。
在下列範例中,威脅獵人正在調查假設的「挖洞」攻擊,該攻擊由多個 MITRE ATT&CK® 技術和 IoC) (入侵指標組成。
管理下列案例詳細資料,以描述、排定優先順序、指派及追蹤工作:
| 顯示的案例功能 | 管理案例選項 | 預設值 |
|---|---|---|
| 優先順序 |
Very low, Low, Medium, High, Critical |
無 |
| 狀態 | 由分析師設置,可由管理員自定義 | 預設狀態為 New、 Open,而 Closed預設值為 New |
| 指派給 | 租用戶中的單一使用者 | 無 |
| 描述 | 純文字 | 無 |
| 案例詳情 | 案例 ID | 案例 ID 從 1000 開始,而且不會清除。 使用自訂狀態和篩選器來封存案例。 案例編號會自動設定。 |
| 建立者 建立日期 上次更新者 上次更新日期 |
自動設置 | |
| 連結事件到期 |
無 |
透過設定自訂狀態、指派任務、連結事件和新增評論來進一步管理案例。
自訂狀態
架構案例管理,以符合安全營運中心 (SOC) 的需求。 自定義 SecOps 團隊可用的狀態選項,以符合您現有的流程。
在挖掘攻擊案例創建示例之後,SOC 管理員配置了狀態,使威脅獵人能夠每週保留威脅積壓以進行分類。 自訂狀態 ( 例如研究階段 和 產生假設) 符合此威脅搜尋小組的既定程式。
工作
新增任務以管理案例的精細元件。 每個任務都有自己的名稱、狀態、優先級、所有者和截止日期。 有了這些信息,您始終知道誰負責在什麼時間完成哪項任務。 任務描述總結了要做的工作以及描述進度的一些空間。 結束筆記提供了有關已完成任務結果的更多背景資訊。
影像顯示下列可用的工作狀態:新增、進行中、失敗、部分完成、略過、已完成
連結物件
將案例連結至環境中的其他物件,可協助您的 SecOps 小組瞭解威脅的更廣泛內容。 您可以將案例連結至 IoC () 的事件或入侵指標 。
連結事件
連結案例和事件可協助您的 SecOps 小組以最適合他們的方法共同作業。 例如,發現惡意活動的威脅搜尋者會為事件回應 (IR) 團隊建立事件。 該威脅獵人將事件與案件聯繫起來,因此很明顯它們是相關的。 現在,IR 團隊了解發現該活動的狩獵的背景。
或者,如果 IR 小組需要將一或多個事件呈報至搜捕小組,他們可以建立案例,並從 [調查 & 回應 事件詳細數據] 頁面連結事件。
預覽) (連結指標
將案例連結至 IOC (相關入侵指標) 可協助您的 SecOps 小組瞭解威脅的更廣泛內容。
若要將案例連結至 IOC,請移至 案例 頁面中的 連結物件 索引標籤,然後選取 指標。 然後,選取 [ 新增 ] 按鈕和 TI 指標所在的工作區。 選擇所需的 TI 指標,然後按一下 連結。
或者,您可以建立案例,並從 Intel 管理指標詳細資料頁面連結指標。 選擇您的 TI 指示器,然後選擇 鏈接案例。
活動記錄
需要寫下筆記,或要傳遞的關鍵檢測邏輯嗎? 建立RTF註解,並檢閱活動記錄中的稽核事件。 註解是快速將資訊 (包括查詢、資料表、連結和結構化內容) 新增至案例的絕佳位置。
稽核事件會自動新增至案例的活動記錄檔,而最新事件會顯示在頂端。 如果您需要專注於評論或審核歷史記錄,請更改過濾器。
附件
共用報告、電子郵件、螢幕擷取畫面、記錄檔等,所有這些都集中在案例的 「附件」 索引標籤中。 確保您擁有所有必要的信息,以便在安全調查中做出快速準確的決策。
![案例的 [附件] 索引標籤詳細資料的螢幕擷取畫面。](media/cases-overview/case-attachments.png)
每個註解最多可以附加 10 個檔案。
將附件新增至案例
若要將附件新增至您的案例,請移至 [案例詳細資料 ] 頁面,選取 [ 附件 ] 索引標籤,選取 [上傳],選取您的檔案,然後等待上傳完成。 上傳後,檔案將在背景掃描是否有惡意軟體。 掃描完成後,任何有權存取案例的人都可以下載檔案。 如果您要上傳的檔案實際上是惡意軟體樣本,您可以將其包裝在受密碼保護的 ZIP 檔案中。
將附件新增至註解 (預覽)
若要將附件新增至註解:
前往 案例 頁面的評論區。
轉到屏幕底部的文本編輯器,然後選擇回形針圖標以附加文件。
從電腦選取您要附加的檔案。
選取 [傳送] 以儲存註解。
- 若要將螢幕截圖附加到您的評論中,請將其貼到文字編輯器中。
- 若要從註解中刪除附加檔案,請將滑鼠停留在垃圾桶圖示上,同時選取垃圾桶圖示。
刪除案例 (預覽)
若要刪除案例:
開啟 [案例] 畫面,選取您要移除的案例,然後選取 [刪除]。
![顯示案例詳細資料窗格中 [移除] 選項的螢幕擷取畫面。](media/cases-overview/delete-case.png)
在快顯視窗中,鍵入刪除,然後選取確認。
限制
請參閱 案例管理限制。